Zum 01.09.2023 gilt in der Schweiz ein neues Datenschutzrecht. Dazu wurden das bestehende Datenschutzgesetz und die bestehende Datenschutzverordnung überarbeitet und durch neue, revidierte Gesetze ersetzt. Durch die Überarbeitung dieser Regelungen soll eine Anpassung an das europäische Datenschutzrecht erfolgen.

An der Zulässigkeit der Übermittlung personenbezogener Daten in die Schweiz ändert sich durch das neue Datenschutzrecht nichts. Der bisherige Angemessenheitsbeschluss bleibt auch nach Änderung der Gesetzeslage bestehen und Übermittlungen können auf diesen gestützt werden, ohne dass weitere geeignete Garantien wie Standarddatenschutzklauseln zu ergreifen wären.

Prüfen Sie, inwiefern Sie in der Schweiz tätig sind und in den Anwendungsbereich des schweizer Datenschutzrechts fallen könnten.

2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Untersagung von Google Analytics in Schweden

Die schwedische Aufsichtsbehörde IMY weist schwedische Unternehmen an, Google Analytics nicht mehr zu verwenden.

Das Audit der schwedischen Behörde betraf eine Version von Google Analytics, die am 14.08.2020 in Betrieb genommen wurde.

Die Prüfungen beruhen auf Beschwerden der Organisation None of Your Business (NOYB) im Lichte des Schrems II-Urteils des Europäischen Gerichtshofs (EuGH). In den Beschwerden wird den Unternehmen vorgeworfen, personenbezogene Daten gesetzeswidrig in die Vereinigten Staaten übermittelt zu haben.

Bei der Überprüfung kam die Behörde zu dem Schluss, dass die von den Unternehmen getroffenen technischen Sicherheitsmaßnahmen nicht ausreichen, um ein Schutzniveau zu gewährleisten, das im Wesentlichen dem in der EU/im EWR garantierten Niveau entspricht, welche für eine Übermittlung in die USA jedoch zwingend - neben dem Vorliegen der Standardvertragsklauseln - notwendig wären.

Eines der Unternehmen, Tele2, hat vor kurzem von sich aus die Verwendung des Statistik-Tools eingestellt. IMY fordert die anderen drei Unternehmen auf, die Verwendung des Tools einzustellen. Darüber hinaus verhängte IMY am 30.06.2023 Bußgelder- für Tele 2 in Höhe von 12 Millionen SEK (ca. 1 Million EUR) und CDON in Höhe von 300.000 SEK (ca. 25.000 EUR), die nicht die gleichen umfangreichen zusätzlichen technischen Schutzmaßnahmen ergriffen haben wie die anderen beiden untersuchten Unternehmen.

40 Millionen EUR - Verstoß u.a. gegen Auskunftspflicht

Criteo ist ein Unternehmen, dass sich auf die Anzeige personalisierter Werbung spezialisiert hat. Dazu verfolgt es die Navigation von Internetnutzern und analysiert deren Surfgewohnheiten mithilfe eines Trackers (Cookie), sobald ein Nutzer die Website eines Criteo-Partners besucht.
Es wurden verschiedene Datenschutzverstöße festgestellt:

- Criteo konnte nicht nachweisen, dass die Betroffenen in die Verarbeitung eingewiligt hatten.Criteo stoppte zwar die Anzeige personalisierter Werbung nach einem Widerruf der Einwilligung, löschte aber nicht die personenbezogene Daten der Betroffenen.

- Criteos Datenschutzrichtlinie enthielt nicht alle mit der Verarbeitung verfolgten Zwecke und war zu vage und weit formuliert.

- Criteo kam seiner Auskunftspflicht nicht vollumfänglich nach und hat betroffenen Personen diverse Informationen vorenthalten.

- In den Verträgen zur gemeinsamen Verantwortlichkeit zwischen Criteo und seinen Partner wurde u.a. nicht festgelegt, wer für die Wahrnehmung der Rechte der bertroffenen Person und die Pflicht zur Meldung von Datenschutzverstößen verantwortlich ist.

Die Anzahl der betroffenen Personen war zudem sehr umfangreich. Das Unternehmen verfügt über Daten von rund 370 Millionen Identifikatoren in der gesamten Eruopäischen Union. Dies war ein weiterer ausschlaggebender Grund für die Höhe des Bußgeldes i.H.v. 40 Millionen EUR.

1,2 Milliarden EUR - Verstoß bei der Drittlandsübermittlung

Nach 10 Jahren Rechtsstreit wurde am 12.05.2023 die irische Datenschutzbehörde vom EDSA dazu verpflichtet ein Bußgeld in Höhe von 1,2 Milliarden EUR gegen Meta Platforms Ireland Limited zu verhängen. Begründet wird dies durch den Verstoß gegen Art. 46 Abs. 1 DSGVO:
Im Rahmen der Bereitstellung des sozialen Netzwerks Facebook übermittelt Meta Ireland personenbezogenen Daten aus der EU/dem EWR an die USA, ohne dass dabei geeignete Garantien gem. Art. 46 DSGVO einen ausreichenden Schutz gegen die mit der Übermittlung verbundenen Risiken für die Grundrechte und -freiheiten der Betroffenen gewährleisten. Da das Unternehmen Meta Ireland den US-Überwachungsgesetzen unterliegt, sind die Daten der EU/EWR-Bürger nicht vor den amerikanischen Geheimdiensten geschützt. Zudem mangelte es an wirksamen Rechtsbehelfen gegenüber den US-amerikanischen Behörden. Meta Ireland hat bis November 2023 Zeit, um die Verarbeitung von personenbezogenen Daten von EU/EWR-Nutzern in Einklang mit Kapitel 5 der DSGVO zu bringen sowie die unrechtmäßige Verarbeitung, die Übermittlung von Daten in die USA, einzustellen.

Die EU-Kommission hat am 10.07.2023 im Wege eines Durchführungsrechtsaktes gemäß Art. 45 Abs. 3 DSGVO beschlossen, dass die USA ein mit der EU vergleichbares Datenschutzniveau hat. Ein Angemessenheitsbeschluss ist eines von mehreren in der DSGVO vorgesehenen Instrumenten, das für die Übermittlung von personenbezogenen Daten aus der EU/EWR in ein Drittland ein angemessenes Schutzniveau garantiert. Basierend auf dem neuen Angemessenheitsbeschluss „EU-U.S. Data Privacy Framework“ können ab sofort personenbezogene Daten aus der EU (sowie aus Norwegen, Liechtenstein und Island) an die USA fließen, ohne dass weitere Schutzmaßnahmen, Bedingungen oder Genehmigungen erforderlich sind. Gültig ist der Angemessenheitsbeschluss nur, wenn der Datenempfänger unter dem EU-U.S. Data Privacy Framework zertifiziert ist. Das US-Handelsministerium „U.S. Department of Commerce“ veröffentlicht eine entsprechende Liste (https://www.privacyshield.gov/list) mit deren Hilfe eine Überprüfung der Zertifizierung möglich ist.

Der neue Angemessenheitsbeschluss hat Relevanz für alle Unternehmen, die personenbezogene Daten in die USA übermitteln, bspw. bei der Nutzung von Cloud-Services oder im Rahmen des konzerninternen Datenverkehrs.

Unternehmen, die personenbezogene Daten in die USA übermitteln, sollten ihre Datenflüsse untersuchen und prüfen, ob Ihre US-Datenempfänger auf der Liste des US-Handelsministeriums aufgeführt sind.

Falls Ihre Datenempfänger nicht auf der Liste des US-Handelsministeriums aufgeführt sind, sollten passende Standarddatenschutzklauseln (SCC) geschlossen werden oder alternative Rechtsgrundlagen in Erwägung gezogen werden (andere geeignete Garantien gem. Art. 46 DSGVO).

Ihr Datenschutzbeauftragter wird Sie hierbei unterstützen!

Das Europäische Parlament und der Rat haben im Jahr 2019 eine EU-Whistleblower-Richtlinie (EU) 2019/1937 beschlossen, die bis zum 17.12.2021 in nationales Recht umgesetzt werden musste. Das Gesetz für einen besseren Schutz hinweisgebender Personen sowie zur Umsetzung der Richtlinie zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, wurde letztlich vom Bundestag mit Zustimmung des Bundesrates im Mai 2023 beschlossen. Das Hinweisgeberschutzgesetz (HinSchG) tritt am 2. Juli 2023 in Kraft.

Ein Hinweisgebersystem dient den Mitarbeitenden eines Unternehmens sowie den Geschäftspartnern, Kunden und weiteren Stakeholdern als zentrale Stelle zur Meldung von Fehlverhalten. Damit haben Unternehmen die Möglichkeit auf Missstände schnell zu reagieren und Schäden vom Unternehmen abzuwenden und Unternehmensprozesse zu verbessern.

Das neue Gesetz regelt den Schutz von natürlichen Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit oder im Vorfeld einer beruflichen Tätigkeit Informationen über Verstöße erlangt haben und diese an die vorgesehenen Meldestellen melden oder offenlegen (hinweisgebende Personen/Hinweisgeber oder engl. „Whistleblower“). Darüber hinaus werden Personen geschützt, die Gegenstand einer Meldung oder Offenlegung sind, sowie sonstige Personen, die von einer Meldung oder Offenlegung betroffen sind.

Unternehmen mit 50 oder mehr Beschäftigten sind dazu verpflichtet, eine interne Meldestelle einzurichten. Dabei gilt diese Verpflichtung für Unternehmen mit mehr als 249 Beschäftigten unmittelbar ab dem 02.07.2023 (wobei die entsprechende Bußgeldvorschrift erst am 01. Dezember 2023 in Kraft tritt); für Unternehmen von 50 bis 249 Beschäftigten gilt eine Übergangsfrist bis zum 17. Dezember 2023.

Bei der Meldung von Verstößen gem. des Hinweisgeberschutzgesetzes werden personenbezogene Daten verarbeitet. Die Datenerhebung umfasst Angaben über die beschuldigte Person, die (angeblichen) Verstöße und die entsprechenden Sachverhalte. Bei nicht anonymen Meldungen kommen personenbezogene Angaben wie Name der meldenden Person, ihre Position im Unternehmen und gegebenenfalls auch die Umstände der Beobachtung der Verstöße in Betracht. Deshalb sind eine Vielzahl datenschutzrechtlicher Maßnahmen zu treffen.

Sprechen Sie uns gerne an!

Der Europäische Datenschutzausschuss (EDSA) hat einen Leitfaden zum Umgang mit der Datenschutzgrundverordnung (DSGVO) für kleine und mittelständische Unternehmen erstellt, in dem auf folgende Themenbereiche eingegangen wird: „Grundlagen des Datenschutzes“, „Compliance im Datenschutz“, „die Rechte des Einzelnen achten“, „Datensicherheit“ sowie „Datenschutzverletzungen“.

In Anlehnung an diesen Leitfaden möchten wir im Folgenden gerne den Themenbereich „Compliance im Datenschutz“ auszugsweise vorstellen.
Die englische Webversion finden Sie unter: https://edpb.europa.eu/sme-data-protection-guide/home_en.

Compliance im Datenschutz

Ihr Unternehmen muss personenbezogene Daten nicht nur im Einklang mit der DSGVO verarbeiten, sondern dies auch nachweisen können. Um diesen Nachweis erbringen zu können, sind u. a. die folgenden Prozesse zu berücksichtigen:

1. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen

Als Verantwortlicher müssen Sie sowohl bei der Konzeption einer Verarbeitung als auch zum Zeitpunkt der Verarbeitung geeignete Maßnahmen und Garantien ergreifen, um sicherzustellen, dass die Datenschutzgrundsätze eingehalten werden. Außerdem müssen Sie sicherstellen, dass standardmäßig nur personenbezogene Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind (dies gilt für die Menge der Daten, den Umfang der Verarbeitung, die Speicherbegrenzung und die Zugänglichkeit).

Mit anderen Worten: Ein Unternehmen, welches das Prinzip „Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen“ anwendet, ist ein Unternehmen, das den Datenschutz und den Schutz der Privatsphäre natürlicher Personen in jedem Aspekt, in jeder Phase der Verarbeitungsvorgänge, in den verwendeten Tools und in jeder anderen Geschäftsaktivität berücksichtigt und verankert.

Um dies zu erreichen, muss Ihre Organisation vor der Durchführung von Verarbeitungsvorgängen Folgendes berücksichtigen:

die Art, den Kontext und den Umfang der beabsichtigten Verarbeitung;
die Risiken, die sich aus den geplanten Verarbeitungsvorgängen oder anderen Geschäftstätigkeiten ergeben;
die Auswirkungen auf die Rechte und Freiheiten natürlicher Personen;
die technischen und organisatorischen Maßnahmen, die ergriffen werden sollten, um die festgestellten Risiken zu mindern und dabei einen angemessenen Schutz der personenbezogenen Daten zu gewährleisten;
die technischen und organisatorischen Maßnahmen oder Verfahren, die zu ergreifen sind, um sicherzustellen, dass die Verarbeitung personenbezogener Daten auf das im Hinblick auf die verfolgten Ziele erforderliche Maß beschränkt wird.

Praxisbeispiele

Eine Buchhandlung möchte ihre Einnahmen durch den Online-Verkauf von Büchern steigern. Der Inhaber der Buchhandlung möchte auf seiner Webseite ein standardisiertes Formular für den Bestellvorgang einrichten. Zunächst macht der Inhaber alle Felder des Formulars verpflichtend. Allerdings sind nicht alle Felder des Formulars für den Verkauf und die Auslieferung der Bücher erforderlich.
Bei der Bestellung eines E-Books beispielsweise kann der Kunde das Produkt direkt auf sein Gerät herunterladen. Daher können Felder im Webformular (wie z.B. die Telefonnummer oder Wohnanschrift des Kunden) für die Bestellung von Büchern nicht erforderlich sein. Der Inhaber des Webshops beschließt daher, zwei Webformulare zu erstellen: eines für die Bestellung von Büchern mit einem Feld für die Adresse des Kunden und ein Webformular für die Bestellung von E-Books ohne ein Feld für die Adresse des Kunden. Auf diese Weise stellt er sicher, dass nur die für die Verarbeitung erforderlichen Daten erhoben werden.
Eine Arztpraxis, in der mehrere Ärzte tätig sind, verarbeitet in ihrer Praxissoftware Daten über ihre Patienten. Die verschiedenen Ärzte müssen z.B. in Vertretungsfällen auf die Patientenakten anderer Ärzte zugreifen, um ihre Entscheidungen über die Betreuung und Behandlung der Patienten zu treffen und um alle Diagnosen sowie Betreuungs- und Behandlungsmaßnahmen zu dokumentieren. Die datenschutzfreundliche Voreinstellung ist, dass im Normalfall nur ein Arzt Zugriff auf die Patientenakte hat. Nur für den Vertretungsfall werden die Zugriffsrechte erweitert.

Es ist sinnvoll, Aufzeichnungen über entsprechende Maßnahmen zu führen, um nachweisen zu können, dass Sie die Grundsätze des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen einhalten. Ein zugelassener Zertifizierungsmechanismus kann ebenfalls als ein Element zum Nachweis der Einhaltung des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen verwendet werden.

2. Verzeichnis von Verarbeitungstätigkeiten

Als Unternehmen haben Sie die Pflicht ein Verzeichnis von Verarbeitungstätigkeiten zu führen. Diese Aufzeichnungen sollten schriftlich (was auch in elektronischer Form möglich ist) geführt werden.

Das Verzeichnis gibt Ihnen einen Überblick über Ihre Verarbeitungstätigkeiten. Um dieses zu erstellen, sollten Sie ermitteln, für welche Ihrer Tätigkeiten eine Verarbeitung personenbezogener Daten erfolgt (z.B. bei der Einstellung von Mitarbeitern, Lohn- und Gehaltsabrechnung, Schulung, Ausweis- und Zugangsverwaltung, Interessentenliste usw.). Jede dieser Datenverarbeitungen muss in dem Verzeichnis mit den folgenden Mindestinformationen beschrieben werden:

der Zweck der Verarbeitung (z. B. Kundenbindung);
die Kategorien der verarbeiteten Daten (z.B. für die Gehaltsabrechnung: Name, Vorname, Geburtsdatum, Gehalt usw.);
die Empfänger (z.B.: die für die Einstellung zuständige Abteilung, der IT-Dienst, die Geschäftsleitung, die Dienstleister, die Partner, Behörden usw.);
gegebenenfalls Informationen über die Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR);
wenn möglich, die Aufbewahrungsfrist (der Zeitraum, in dem die Daten aus betrieblicher Sicht und aus Sicht der Archivierung notwendig sind);
wenn möglich, eine allgemeine Beschreibung der Sicherheitsmaßnahmen.

Dieses Verzeichnis muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden.

Organisationen, die weniger als 250 Personen beschäftigen, müssen in ihrem Verzeichnis keine rein gelegentlichen Tätigkeiten aufführen (z. B. Daten, die für einmalige Ereignisse wie die Eröffnung eines Geschäfts verarbeitet werden).

3. Datenschutzfolgenabschätzung

Wenn eine Verarbeitung wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt, muss der für die Verarbeitung Verantwortliche eine Datenschutzfolgenabschätzung (DSFA) durchführen. Eine DSFA ist eine schriftliche Bewertung eines geplanten Verarbeitungsvorgangs. Sie hilft Ihnen dabei, die geeigneten Schutzmaßnahmen zur Risikominderung zu ermitteln und die Einhaltung der Vorschriften nachzuweisen.

Wie führt man eine Datenschutzfolgenabschätzung (DSFA) durch?

Es ist zwar besser, die Auswirkungen sämtlicher geplanter Verarbeitungsvorgänge durch eine DSFA zu ermitteln, eine Verpflichtung zur Durchführung besteht allerdings nur, wenn die Verarbeitung wahrscheinlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Dies ist vor allem dann der Fall, wenn die geplante Verarbeitung Folgendes beinhaltet:

die Verarbeitung - in großem Umfang - von sensiblen personenbezogenen Daten und Daten über strafrechtliche Verurteilungen;
eine systematische und umfassende Bewertung der persönlichen Aspekte einer Person, die auf einer automatisierten Verarbeitung, einschließlich Profiling, beruht und auf Entscheidungen beruhen, die rechtliche Auswirkungen auf die betreffende Person haben oder Personen in ähnlicher Weise erheblich beeinträchtigen;
die systematische Überwachung eines öffentlich zugänglichen Bereichs in großem Umfang.

In den meisten Fällen sollten Verarbeitungen, die zwei der folgenden Kriterien erfüllen, durch eine Datenschutzfolgenabschätzung bewertet werden:

Bewertung oder Scoring;
automatisierte Entscheidungsfindung mit rechtlichen oder ähnlichen erheblichen Auswirkungen;
systematische Überwachung;
sensible Daten oder höchstpersönliche Daten;
Datenverarbeitung in großem Umfang;
Abgleich oder Zusammenführen von Datensätzen;
Daten über schutzbedürftige Personen;
innovative Nutzung oder Anwendung neuer technischer oder organisatorischer Lösungen;
wenn die Verarbeitung an sich Personen daran hindert, ein Recht auszuüben oder eine Dienstleistung oder einen Vertrag zu nutzen.

Beispiele dafür, wann eine Datenschutzfolgenabschätzung erforderlich sein kann, sind:

die Verarbeitung biometrischer Daten, z. B. Scannen von Fingerabdrücken oder Gesichtsmerkmalen zur Identifizierung von Patienten;
die Verwendung von Daten schutzbedürftiger Personen für Marketingzwecke, z. B. zur Vorhersage ihrer Käufe;
mobile Anwendungen, die den Standort einer Person verfolgen.

Beispiele dafür, wann eine Datenschutzfolgenabschätzung nicht erforderlich sein kann:

die vorgesehene Verarbeitung ist einer anderen Verarbeitung, für die bereits eine DSFA durchgeführt wurde, sehr ähnlich;
die Verarbeitung ist auf der White-List (erstellt von Ihrer nationalen Datenschutzbehörde) aufgeführt, die alle Verarbeitungsvorgänge auflistet, für die keine DSFA durchgeführt werden müssen;
die Verarbeitung ist nach EU- oder nationalem Recht zulässig.

Was sollte eine Datenschutzfolgenabschätzung enthalten?

Ihre Datenschutzfolgenabschätzung sollte Folgendes enthalten:

eine Beschreibung des geplanten Verarbeitungsvorgangs und seines Zwecks;
eine Bewertung der Notwendigkeit und Verhältnismäßigkeit;
die Risiken, die der Verarbeitungsvorgang mit sich bringen kann;
die Maßnahmen zur Minimierung der Risiken.

Vorherige Konsultation während einer DSFA

Wenn der Verantwortliche keine ausreichenden Maßnahmen treffen kann, um die Risiken auf ein akzeptables Niveau zu reduzieren (d. h. die Restrisiken sind immer noch hoch), ist eine Konsultation der Datenschutzbehörde erforderlich. In diesem Fall muss der Verantwortliche die folgenden Informationen bereitstellen:

die jeweiligen Verantwortlichen, gemeinsamen Verantwortlichen und die Auftragsverarbeiter, die an der Verarbeitung beteiligt sind;
den Zweck der Verarbeitung und die Art und Weise, wie die Verarbeitung durchgeführt werden soll;
die Maßnahmen, die zum Schutz der personenbezogenen Daten vorgesehen sind;
die Kontaktdaten des Datenschutzbeauftragten Ihrer Organisation, falls zutreffend;
die betreffende Datenschutzfolgenabschätzung.

Nachdem Ihre Datenschutzfolgenabschätzung erstellt ist, müssen Sie sie gegebenenfalls verbessern/anpassen:

Beschreibung der vorgesehenen Verarbeitung
Beurteilung von Notwendigkeit und Verhältnismäßigkeit
Bereits vorgesehene Maßnahmen
Einschätzung des Risikos für Einzelpersonen
Maßnahmen zur Bewältigung des identifizierten Restrisikos
Überwachen und überprüfen

4. Verhaltenskodex (Code of Conduct)

Es können durch Verbände Verhaltenskodizes einschließlich Datenschutzmechanismen ausgearbeitet werden, an die sich Verantwortliche und Auftragsverarbeiter halten können, um sicherzustellen, dass die personenbezogenen Daten gemäß der DSGVO geschützt werden.

Im Einzelnen sollen diese Verhaltenskodizes zum Beispiel sicherstellen:

dass personenbezogene Daten auf faire und transparente Weise verarbeitet werden;
dass die Zwecke, für die personenbezogene Daten verarbeitet werden, rechtmäßig sind;
wie personenbezogene Daten pseudonymisiert werden können;
dass den Personen, deren personenbezogene Daten verarbeitet werden, transparente Informationen zur Verfügung gestellt werden;
dass die Zustimmung zur Verarbeitung personenbezogener Daten, insbesondere der Daten von Kindern, in angemessener Weise eingeholt wird;
dass alle technischen und organisatorischen Maßnahmen getroffen werden, um die sichere Verarbeitung der Daten von Personen zu gewährleisten;
dass die Verfahren für die Meldung von Verletzungen des Schutzes personenbezogener Daten eingehalten werden;
dass die Verfahren, einschließlich der Sicherheitsvorkehrungen, für die Übermittlung personenbezogener Daten an Nicht-EWR-Länder und -Organisationen eingehalten werden;
dass die Verfahren für Gerichtsverfahren und Streitbeilegung befolgt werden.

5. Zertifizierung

Eine Organisation, die eine datenschutzspezifische Zertifizierung erhält, kann mit dieser Zertifizierung nachweisen, dass die DSGVO bei ihren Verarbeitungsvorgängen eingehalten wird.

Die Aufsichtsbehörden können zum Beispiel:

Zertifizierungen in Bezug auf ihr eigenes Zertifizierungssystem ausstellen;
selbst Zertifizierungen in Bezug auf ihr eigenes Zertifizierungssystem ausstellen, aber den gesamten oder einen Teil des Bewertungsprozesses an Dritte delegieren;
ein eigenes Zertifizierungssystem schaffen und bestimmte Stellen mit der Ausstellung dieser Zertifizierungen beauftragen;
den Markt ermutigen, Zertifizierungsmechanismen zu entwickeln;
die Zertifizierungssysteme der Zertifizierungsstellen bewerten.

Eine Zertifizierungsstelle hat die Aufgabe, auf der Grundlage eines Zertifizierungsverfahrens und genehmigter Kriterien, Zertifizierungen zu erteilen, zu überprüfen und zu entziehen.

Die Zertifizierungsstellen müssen die Bewertung der Verarbeitungsvorgänge Ihrer Organisation, für die eine datenschutzspezifische Zertifizierung ausgestellt werden kann, dokumentieren.

Meine Organisation hat eine DSGVO-Zertifizierung erhalten, wie geht es nun weiter?

Die Zertifizierung eines Verarbeitungsvorgangs, den Ihre Organisation durchführt, ist maximal drei Jahre lang gültig, kann aber verlängert oder widerrufen werden. Um die Zertifizierung aufrechtzuerhalten, muss Ihre Organisation die Maßnahmen rund um den zertifizierten Verarbeitungsvorgang kontinuierlich und konsequent umsetzen.

2020ff. by ds² Unternehmensberatung GmbH & Co. KG.

Gemäß Art. 15 DSGVO hat die betroffene Person das Recht von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob und welche sie betreffenden personenbezogenen Daten verarbeitet werden. Darüber hinaus hat die betroffene Person gem. Art. 15 Abs 3. DSGVO das Recht, eine kostenlose Kopie der sie betreffenden personenbezogenen Daten zu verlangen.

Im nun veröffentlichten Urteil des EuGH (Rechtssache C-487/21) hatte dieser geklärt, dass das Recht, eine „Kopie“ zu erhalten, bedeutet, dass der betroffenen Person eine originaltreue und verständliche Reproduktion aller über sie gespeicherten personenbezogenen Daten übermittelt werden muss.

Dies impliziert Kopien von Auszügen aus Dokumenten oder von ganzen Dokumenten. Es kann aber auch ein Auszug aus Datenbanken verlangt werden, wenn dies unerlässlich ist, um das Auskunftsrecht geltend zu machen.

Eine rein allgemeine Beschreibung der personenbezogenen Daten, die
Gegenstand der Verarbeitung sind, oder ein Verweis auf Kategorien personenbezogener Daten entspricht nicht der Definition von „Kopie“.

Die betroffene Person muss aus dem Auskunftsrecht überprüfen können, ob die sie betreffenden personenbezogenen Daten nicht nur richtig sind, sondern auch rechtmäßig verarbeitet wurden.

In einem offenen Brief (abrufbar hier) vom 22.03.2023 fordern Experten aus Forschung, Wissenschaft und der Tech-Branche der ganzen Welt eine mindestens 6-monatige Entwicklungspause von Künstlicher Intelligenz (KI), die leistungsfähiger ist als „GPT-4“. Ist dies nicht zeitnah realisierbar, so schlagen die Verfasser vor, dass die Regierungen eingreifen und ein Moratorium verhängen.

Die Forderung begründen die Verfasser damit, dass ihrer Meinung nach „KI-Systeme mit einer dem Menschen ebenbürtigen Intelligenz tiefgreifende Risiken für die Gesellschaft und die Menschheit darstellen.“
Der Vorstandsvorsitzende des Berufsverbandes der Datenschutzbeauftragten Deutschlands (BvD), Thomas Spaeing, unterstützt zu 100% die Ansicht der Verfasser, dass zur Zeit weder die notwendige Planung noch das nötige (Risiko-)Management stattfinden, welche aktuell in Bezug auf KI-Entwicklung nötig wären. Er verweist ausdrücklich auf den im offenen Brief angeführten Umstand, dass es mittlerweile Niemandem mehr möglich sei, die immer mächtiger werdenden künstlichen Intelligenzen zu verstehen und zuverlässig zu kontrollieren bzw. zu prüfen.

Gefordert wird allerdings keine generelle Abkehr von der KI-Entwicklung, sondern eine Trainings-Pause, die genutzt wird, um bspw. Sicherheitsprotokolle zu entwickeln, die wiederum von unabhängigen, fairen Experten kontrolliert werden können. Werden diese Protokolle eingehalten, so soll dies die zweifelsfreie Sicherheit eines Systems bekräftigen und unberechenbare Black-Box-Modelle verhindern.
In dieser Pause sollen KI-Entwickler und Regierungen gemeinsam u.a. auch klären wie mit Schäden, die eine KI verursacht, künftig umgegangen werden soll.

Zu den Unterzeichnern des offenen Briefes gehören u.a. Apple-Mitgründer Steve Wozniak, Tech-Milliardär Elon Musk und Pioniere der KI-Entwicklung wie Stuart Russel. Bereits 30.000 Unterschriften wurden gesammelt, verifiziert wurden davon aktuell schon 27.565 (Stand Dienstag, 09.05.2023, 12:00 Uhr).

Am 20.03.2022 fand eine Änderung des § 28b IfSG statt. Die nun alte Fassung wurde stark eingekürzt. So wurde § 28b Abs. 3 IfSG beispielsweise komplett gestrichen. Aus diesem ging die Pflicht für alle Arbeitgeber sowie Leitungen der in Absatz 2 Satz 1 genannten Einrichtungen und Unternehmen hervor, dass die Einhaltung der Verpflichtungen nach Absatz 1 Satz 1 Absatz 2 Satz 1 (Zutritt nur mit bestimmtem „G-Status“) durch Nachweiskontrollen täglich zu überwachen und regelmäßig zu dokumentieren sind. Dies bedeutet folglich, dass seit dem 20.03.2022 die Information über das Vorliegen eines konkreten Nachweises und dessen Gültigkeitsdauer nicht mehr aufgrund des § 28b IfSG erhoben und gespeichert werden darf. Eine Rechtsgrundlage für diese Verarbeitung personenbezogenen Daten besteht aus datenschutzrechtlicher Sicht daher nicht mehr.

Nun hat sich die Landesbeauftragte für den Datenschutz Niedersachsen (LfD Niedersachsen) in der Pressemeldung vom 19.04.2022 zu diesem Thema geäußert und Unternehmen dazu aufgefordert zu prüfen, ob und welche personenbezogenen Daten sie im Zusammenhang mit Maßnahmen zur Pandemiebekämpfung erhoben und gespeichert haben. Wenn diese Maßnahmen und damit der Zweck der Datenverarbeitung weggefallen seien, müssen die Daten dringend gelöscht werden. Sie kündigte zudem an: „Ich behalte mir vor, hierzu in diesem Jahr unangekündigte Kontrollen in Unternehmen und anderen Einrichtungen durchzuführen.“

Zwar hat sich bisher erst die LfD Niedersachsen hierzu geäußert. Es ist jedoch nicht unwahrscheinlich, dass in naher Zukunft auch weitere Aufsichtsbehörden diesbezüglich aktiv werden. Es empfiehlt sich daher, zu prüfen, ob in Ihrem Unternehmen noch personenbezogene Daten, die aufgrund der alten Version des IfSG erhoben hoben wurden (z.B. 3G-Kontrolle zur Zutrittskontrolle zum Arbeitsplatz), gespeichert sind. Sofern dies der Fall ist und der Zweck der Verarbeitung aufgrund der Änderung des IfSG nun entfallen ist, raten wir dazu, diese Daten unverzüglich zu löschen.

Die Pressemitteilung vom 19.04.2022 sowie ein Beschluss der Konferenz der unabhängigen Datenschutzbehörden des Bundes und der Länder (DSK) zur Verarbeitung personenbezogener Daten im Zusammenhang mit der einrichtungsbezogenen Impfpflicht vom 13.04.2022 finden Sie hier:

Erschienen am 22. September 2020

Die Reihe der Datenskandale in der Gesundheitswirtschaft reißt nicht ab: Immer wieder werden in den Kellern oder auf den Dachböden stillgelegter Krankenhäuser oder Arztpraxen alte Patientenakten entdeckt. Die Gesetze sind eindeutig, die Verfahren zum Umgang mit alten Akten noch nicht.

Thomas Spaeing, Datenschutzpionier und Vorsitzender des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) e.V., fordert mehr Fokus auf die Archive von Kliniken: „Bevor Fremde prüfen, ob alle alten Akten sicher geborgen wurden, sollte man den Rat von erfahrenen Datenschützern einholen, wie damit umzugehen ist.“

Die Aufbewahrungsfristen für Patientenakten sind lang: 10 Jahre im Minimum, 30 Jahre im Maximum. Solange können Patienten Ansprüche bei Behandlungsfehlern gegen die behandelnden Ärzte geltend machen. Um dieses Recht zu schützen und Patientenakten dauerhaft sicher zu verwahren, empfehlen wir vor einer Klinikschließung die Patientenakten auszulagern. Die Akten könnten beispielsweise in die Obhut der Nachbarklinik oder in eine andere Klinik eines Verbunds übergeben werden. Notfalls können auch die Gesundheitsämter bei den Kreisen eine Verwahrung anordnen.

Da wir mit unserem ds²-Team unter anderem auch große Krankenhauskonzerne betreuen, hoffen wir, dass es bald gelingt, das Bewusstsein hinsichtlich des Datenschutzes zu erhöhen, sodass Datenschutzverletzungen aufgrund nicht gesicherter Patientenakten in Klinik-Ruinen und verlassenen Arztpraxen zur Vergangenheit gehören. Denn unter den entstandenen Imageschäden in dieser Branche haben auch jene in der Gesundheitswirtschaft zu leiden, die achtsam und rechtskonform mit den Daten ihrer Patienten umgehen.

Wenn Sie mehr zu diesem Thema wissen wollen, wenden Sie sich bitte direkt an die Autorin oder den Autor. Wir freuen uns auf Ihren Anruf!